云市场

麒麟堡垒机华南区

麒麟堡垒机用于运维管理的认证、授权、审计等监控管理,主要功能如下: 1.麒麟堡垒机支持认证系统,支持外接LDAP、AD、Radius认证,内置动态口令、CA认证 2....
  • 镜像:
  • ¥/小时
  • 云服务器:
  • ¥/小时
  • ¥/小时

订阅

麒麟堡垒机华南区

地域:
  • 华南-广州
规格:
  • 麒麟堡垒机v1.51
推荐配置:
  • 1核2G云主机_40G硬盘
自定义云主机
更多
购买方式:
  • 按需
  • 按月
  • 按年
购买时长:
  • -
  • +
  • 小时
最多支持购买3年
最多支持购买9个月
金额:
询价中...
  • ¥
  • 省: ¥

单价

    • 镜像:
    • ¥/小时
    • 云服务器:
    • ¥/小时
立即购买
实际扣费以账单为准 了解计费详情>>

产品描述

  • 版本: V1.51
  • 类型: 安全管理
  • 适用于: Linux
  • 发布日期: 2018-05-15
麒麟堡垒机用于运维管理的认证、授权、审计等监控管理,主要功能如下:
1.麒麟堡垒机支持认证系统,支持外接LDAP、AD、Radius认证,内置动态口令、CA认证
2.麒麟堡垒机支持授权,可以在堡垒机中设置用户可以登录的主机及帐号,用户只能登录到授权的系统上
3.麒麟堡垒机支持SSO单点登录,用户可以不需要输入目标机用户名密码,直接一键登录
4.麒麟堡垒机支持操作审计,可以用户整个操作进行录相留存,可以分析用户操作的命令
5.麒麟堡垒机支持操作分析,可以为用户生成登录、操作、权限修改等多种统计报表。
6.麒麟堡垒机内置SSL VPN,非常适合云环境,云环境用户可以通过SSL VPN模块登录系统进行运维操作
7.本镜像为免费版本,支持ssh/rdp/vnc/telnet/ftp协议,最多支持50台主机授权,使用时间为不限期,如果需要打开sftp、RDP磁盘映射剪切版、支持50台以上主机管理、打通不同云之间的连接,需要找厂商进行许可授权。



产品特点

1.单点登录

提供了基于 B/S 的单点登录系统,运维人员通过一次登录系统后,就可直接对多种基于 B/S  C/S 的应用系统,而无需再次认证过程。单点登录为具有多账号的用户提供了方便快捷的访问途径,使用户无需记忆多种登录用户 ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高了工作效率。同时,由于系统自身是采用强认证(动态口令)的系统,从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝连接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。

2.集中账号管理

集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。

通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。

3.身份认证

为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。 

集中身份认证提供静态密码、一次性口令和生物特征等多种认证方式,其中,内置一次性口令认证系统,而且系统具有灵活的定制接口,可以方便的与第三方认证服务器对接。

4. 资源授权

提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/SC/S对服务器主机、网络设备的访问进行审计和阻断。

在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在iAudit上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。

5.访问控制

麒麟堡垒机能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。

6.操作审计

操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。

内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。



应用指南

 1.   登录堡垒机

    1.1.   准备

    1.1.1. 控件设置

WebPortal方式可以支持控件模式,不需要安装任何客户端,方式为:

1.     继续上面设置,登录堡垒机,在堡垒机的其它菜单中,点击工具下载,下载:堡垒机控件-日期.zip,解压后安装(只需要默认点击下一步)


 

 

    1.2.      登录堡垒机

在浏览器地址栏输入https://ip,在已经导入证书的情况下,会顺利地打开登录页面,否则需要选择信任证书并继续浏览,才能看到登录界面。登录界面如下图:


支持普通口令登录,也支持动态口令登录。动态口令登录需要登录用户手上有动态口令的USBKey才行,没有的人不能用动态口令登录。


认证方式有英文名和中文名两种方式的原因是,在运维堡垒机都采用实名制账户管理,每个用户账号(英文名)都对应一个自然人的真实姓名(中文名)。一般直接使用默认的英文名登录认证方式即可。

 登录窗口

输入用户名、密码后认证通过后即可看到堡垒机的运维主界面,如下图所示:

操作窗口


主界面为左右布局,左侧菜单,右侧为工作区,右侧展示菜单对应的各项功能和操作数据。

菜单区有三大功能:“设备管理”、“运维审计”、“其他”。

运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块,设备管理是对设备进行运维的统一操作入口,运维审计是对运维操作的回顾和审计。

从“设备管理”菜单的结构可以看出,运维堡垒机把所有设备分组管理,形成设备组,而且从右侧界面结构看到,设备又根据运维方式进一步分类,比如有SSH设备、RDP设备等,让用户能够很方便地找到操作对象。

“设备管理”菜单中的另一块就是“应用发布”,“应用发布”就是在堡垒机上部署了一些运维工具,提供给运维人员使用,这些工具不需要下载安装,就可以直接使用来对设备进行运维,是一种虚拟化的操作方式。

“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径,有利于积累操作经验。

“其他”是一些辅助功能,比如修改个人信息、下载工具、网盘等。

   3.   设备运维

运维堡垒机支持运维人员以三种方式登录运维:

1)        打开WebPortal,在Webportal中点击相应的工具链接进行登录

2)        直接在维护终端本地打开工具进行登录

3)        进行VPN拨号,然后打开维护终端本地工具进行登录

    2.1.   Web Portal设备运维

设备运维除了选用应用发布服务器上的软件工具意外,都是使用本地安装的工具软件。首次登录注意看,设备列表中每个设备右端对应的操作栏,如下图所示。设备列表的第一列是ID,也非常重要,在下一节运维工具直接登录运维的时候要用到。

登录SSO

以第一行设备Linux-1为例。它的操作为“ssh(putty | securecrt)  sftp(WINSCP)”,表示该设备有两种运维登录方式,一种是ssh方式,第二种是sftp方式,并且列明了可以使用的工具,SSH方式可以使用putty或者securecrt,sftp方式使用WINSCP。括号里面的蓝色字体表示是链接,点击链接可与打开工具。

第一次点击工具链接的时候,堡垒机系统并不知道你的工具是否安装以及所在位置,需要用户自己指定工具安装在哪个路径下面,因此,会弹出对话窗口让登录人员进行路径选择,第一次选择路径后,系统即会记录该路径,以后再登录都不需要重新输入,界面如下。

找到运维工具后,启动工具,堡垒机系统一般将会自动登录到目标系统,代替运维人员实现登录目标设备的登录操作,这就是单点登录,简化运维操作,不需要记忆大量设备的账号密码。采用putty工具自动登录目标设备后的界面如下图所示。

其他设备的运维与此类似。

2.2.   运维工具直接登录

除了在Web界面点击工具链接登录目标设备运维,支持使用本地运维工具直接进行登录运维,操作体验与没有使用堡垒机完全相同,完全不改变操作习惯。

运维人员直接使用运维工具柜进行运维,与使用堡垒机之前不同,需要注意二个事项:

1.      无论运维人员希望登录哪一台目标设备运维,工具的目标主机地址都是运维堡垒机,不能绕过堡垒机直接填写目标设备地址访问。

2.      运维人员登录认证的帐号,也不能再使用目标设备最终登录账号,登录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的ID好组合而成的一个标识,其格式是:

堡垒机账号—目标设备ID

中间的连接符是两个减号。

而登录密码就是用户在堡垒机上账号的密码。

如何得到设备的ID呢?用浏览器登录堡垒机WebPortal可以查看,在设备列表的衣领就是设备ID,如下图所示172.16.26.222的空用户ID是20。

因此当希望用工具直接登录目标设备Linux-1(192.168.1.45)时,应该在打开的工具(比如putty)界面上,目标主机的地方填写堡垒机地址(假定为192.168.1.61),如下图所示。


点击“Open”按钮,当Putty提示输入登录用户名和密码的时候,此时应该输入在堡垒机上的账号名(假设为tom)与ID的组合,即“tom--20”,密码为堡垒机用户tom的密码。这样Putty就会穿过堡垒机把你带到要维护的目标设备172.26.16.222。

3.3.   SecureCRT打开多个设备

1、登录堡垒机WebPortal(假设为192.16.100.51),点击工具CRT链接可以登录一个目标设备,如下图所示。

 

SecureCRT上打开“文件”-“快速连接”

协议选择:SSH2

主机名:192.16.100.51主机名填写堡垒机的访问IP地址)

端口23

用户名:即堡垒机用户名,这里是cx

用户名格式:堡垒机用户名--服务器ID  如图:

打开不同的AIXLinux需查看不同的服务器ID

 

查看服务器ID的方法:在WebPortal设备列表中左边第一列。

点击“连接”,输入堡垒机登录密码。


重命名服务器名称


 

 

  

  

规格说明

规格 主机配置 计费方式 云主机价格 镜像价格
麒麟堡垒机v1.51
CPU: 1核
内存: 2G
硬盘: 40G
操作系统: linux
部署方式: 单机模式
云服务区: 华南-广州
可用性区域: 可用区1
云主机型号: s2.medium.2.linux
按需 0.1668元/小时 0元/小时
按月 84.2元/月 0元/月
按年 842元/年 0元/年

客户案例

暂无,请等待更新

用户评价

暂无,请等待更新

麒麟堡垒机华南区

产品简介

产品描述

麒麟堡垒机用于运维管理的认证、授权、审计等监控管理,主要功能如下:
1.麒麟堡垒机支持认证系统,支持外接LDAP、AD、Radius认证,内置动态口令、CA认证
2.麒麟堡垒机支持授权,可以在堡垒机中设置用户可以登录的主机及帐号,用户只能登录到授权的系统上
3.麒麟堡垒机支持SSO单点登录,用户可以不需要输入目标机用户名密码,直接一键登录
4.麒麟堡垒机支持操作审计,可以用户整个操作进行录相留存,可以分析用户操作的命令
5.麒麟堡垒机支持操作分析,可以为用户生成登录、操作、权限修改等多种统计报表。
6.麒麟堡垒机内置SSL VPN,非常适合云环境,云环境用户可以通过SSL VPN模块登录系统进行运维操作
7.本镜像为免费版本,支持ssh/rdp/vnc/telnet/ftp协议,最多支持50台主机授权,使用时间为不限期,如果需要打开sftp、RDP磁盘映射剪切版、支持50台以上主机管理、打通不同云之间的连接,需要找厂商进行许可授权。



产品特点

1.单点登录

提供了基于 B/S 的单点登录系统,运维人员通过一次登录系统后,就可直接对多种基于 B/S  C/S 的应用系统,而无需再次认证过程。单点登录为具有多账号的用户提供了方便快捷的访问途径,使用户无需记忆多种登录用户 ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高了工作效率。同时,由于系统自身是采用强认证(动态口令)的系统,从而提高了用户认证环节的安全性。单点登录可以实现与用户授权管理的无缝连接,可以通过对用户、角色、行为和资源的授权,增加对资源的保护和对用户行为的监控及审计。

2.集中账号管理

集中账号管理包含对所有服务器、网络设备账号的集中管理。账号和资源的集中管理是集中授权、认证和审计的基础。集中账号管理可以完成对账号整个生命周期的监控和管理,而且还降低了管理大量用户账号的难度和工作量。同时,通过统一的管理还能够发现账号中存在的安全隐患,并且制定统一的、标准的用户账号安全策略。

通过建立集中账号管理,企业可以实现将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权。而且,还可以实现针对自然人的行为审计,以满足审计的需要。

3.身份认证

为用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理,而且能够采用更加安全的认证模式,提高认证的安全性和可靠性。 

集中身份认证提供静态密码、一次性口令和生物特征等多种认证方式,其中,内置一次性口令认证系统,而且系统具有灵活的定制接口,可以方便的与第三方认证服务器对接。

4. 资源授权

提供统一的界面,对用户、角色及行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/SC/S对服务器主机、网络设备的访问进行审计和阻断。

在集中访问授权里强调的“集中”是逻辑上的集中,而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能,管理员也由各自的归口管理部门委派,但是这些管理员在iAudit上,可以对各自的管理对象进行授权,而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权,对某些应用还可以限制用户的操作,以及在什么时间进行操作等的细粒度授权。

5.访问控制

麒麟堡垒机能够提供细粒度的访问控制,最大限度保护用户资源的安全。细粒度的命令策略是命令的集合,可以是一组可执行命令,也可以是一组非可执行的命令,该命令集合用来分配给具体的用户,来限制其系统行为,管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。

6.操作审计

操作审计管理主要审计操作人员的账号使用(登录、资源访问)情况、资源使用情况等。在各服务器主机、网络设备的访问日志记录都采用统一的账号、资源进行标识后,操作审计能更好地对账号的完整使用过程进行追踪。

内控堡垒主机系统通过系统自身的用户认证系统、用户授权系统,以及访问控制等详细记录整个会话过程中用户的全部行为日志。还可以将产生的日志传送给第三方。



应用指南

 1.   登录堡垒机

    1.1.   准备

    1.1.1. 控件设置

WebPortal方式可以支持控件模式,不需要安装任何客户端,方式为:

1.     继续上面设置,登录堡垒机,在堡垒机的其它菜单中,点击工具下载,下载:堡垒机控件-日期.zip,解压后安装(只需要默认点击下一步)


 

 

    1.2.      登录堡垒机

在浏览器地址栏输入https://ip,在已经导入证书的情况下,会顺利地打开登录页面,否则需要选择信任证书并继续浏览,才能看到登录界面。登录界面如下图:


支持普通口令登录,也支持动态口令登录。动态口令登录需要登录用户手上有动态口令的USBKey才行,没有的人不能用动态口令登录。


认证方式有英文名和中文名两种方式的原因是,在运维堡垒机都采用实名制账户管理,每个用户账号(英文名)都对应一个自然人的真实姓名(中文名)。一般直接使用默认的英文名登录认证方式即可。

 登录窗口

输入用户名、密码后认证通过后即可看到堡垒机的运维主界面,如下图所示:

操作窗口


主界面为左右布局,左侧菜单,右侧为工作区,右侧展示菜单对应的各项功能和操作数据。

菜单区有三大功能:“设备管理”、“运维审计”、“其他”。

运维堡垒机的运维Web Portal的核心功能在“设备管理”和“运维审计”两块,设备管理是对设备进行运维的统一操作入口,运维审计是对运维操作的回顾和审计。

从“设备管理”菜单的结构可以看出,运维堡垒机把所有设备分组管理,形成设备组,而且从右侧界面结构看到,设备又根据运维方式进一步分类,比如有SSH设备、RDP设备等,让用户能够很方便地找到操作对象。

“设备管理”菜单中的另一块就是“应用发布”,“应用发布”就是在堡垒机上部署了一些运维工具,提供给运维人员使用,这些工具不需要下载安装,就可以直接使用来对设备进行运维,是一种虚拟化的操作方式。

“运维审计”是提供给运维人员自己查看审计自己历史操作过程记录的一个途径,有利于积累操作经验。

“其他”是一些辅助功能,比如修改个人信息、下载工具、网盘等。

   3.   设备运维

运维堡垒机支持运维人员以三种方式登录运维:

1)        打开WebPortal,在Webportal中点击相应的工具链接进行登录

2)        直接在维护终端本地打开工具进行登录

3)        进行VPN拨号,然后打开维护终端本地工具进行登录

    2.1.   Web Portal设备运维

设备运维除了选用应用发布服务器上的软件工具意外,都是使用本地安装的工具软件。首次登录注意看,设备列表中每个设备右端对应的操作栏,如下图所示。设备列表的第一列是ID,也非常重要,在下一节运维工具直接登录运维的时候要用到。

登录SSO

以第一行设备Linux-1为例。它的操作为“ssh(putty | securecrt)  sftp(WINSCP)”,表示该设备有两种运维登录方式,一种是ssh方式,第二种是sftp方式,并且列明了可以使用的工具,SSH方式可以使用putty或者securecrt,sftp方式使用WINSCP。括号里面的蓝色字体表示是链接,点击链接可与打开工具。

第一次点击工具链接的时候,堡垒机系统并不知道你的工具是否安装以及所在位置,需要用户自己指定工具安装在哪个路径下面,因此,会弹出对话窗口让登录人员进行路径选择,第一次选择路径后,系统即会记录该路径,以后再登录都不需要重新输入,界面如下。

找到运维工具后,启动工具,堡垒机系统一般将会自动登录到目标系统,代替运维人员实现登录目标设备的登录操作,这就是单点登录,简化运维操作,不需要记忆大量设备的账号密码。采用putty工具自动登录目标设备后的界面如下图所示。

其他设备的运维与此类似。

2.2.   运维工具直接登录

除了在Web界面点击工具链接登录目标设备运维,支持使用本地运维工具直接进行登录运维,操作体验与没有使用堡垒机完全相同,完全不改变操作习惯。

运维人员直接使用运维工具柜进行运维,与使用堡垒机之前不同,需要注意二个事项:

1.      无论运维人员希望登录哪一台目标设备运维,工具的目标主机地址都是运维堡垒机,不能绕过堡垒机直接填写目标设备地址访问。

2.      运维人员登录认证的帐号,也不能再使用目标设备最终登录账号,登录账号使用的是用户在运维堡垒机上的登录账号与目标设备在上的ID好组合而成的一个标识,其格式是:

堡垒机账号—目标设备ID

中间的连接符是两个减号。

而登录密码就是用户在堡垒机上账号的密码。

如何得到设备的ID呢?用浏览器登录堡垒机WebPortal可以查看,在设备列表的衣领就是设备ID,如下图所示172.16.26.222的空用户ID是20。

因此当希望用工具直接登录目标设备Linux-1(192.168.1.45)时,应该在打开的工具(比如putty)界面上,目标主机的地方填写堡垒机地址(假定为192.168.1.61),如下图所示。


点击“Open”按钮,当Putty提示输入登录用户名和密码的时候,此时应该输入在堡垒机上的账号名(假设为tom)与ID的组合,即“tom--20”,密码为堡垒机用户tom的密码。这样Putty就会穿过堡垒机把你带到要维护的目标设备172.26.16.222。

3.3.   SecureCRT打开多个设备

1、登录堡垒机WebPortal(假设为192.16.100.51),点击工具CRT链接可以登录一个目标设备,如下图所示。

 

SecureCRT上打开“文件”-“快速连接”

协议选择:SSH2

主机名:192.16.100.51主机名填写堡垒机的访问IP地址)

端口23

用户名:即堡垒机用户名,这里是cx

用户名格式:堡垒机用户名--服务器ID  如图:

打开不同的AIXLinux需查看不同的服务器ID

 

查看服务器ID的方法:在WebPortal设备列表中左边第一列。

点击“连接”,输入堡垒机登录密码。


重命名服务器名称


 

 

  

  

产品特点